利用组策略，提高系统安全性

这里就从组策略的角度出发，来说明如何通过合理的配置提高系统的安全性，这包括安全模板、用户权限、安全选项、UAC账户控制、安全审核、限制组等。

利用组策略实现系统安全，系统内置了一些专用的模板，其范围包括账户策略、本地策略、事件日志、限制组、系统服务、注册表、文件系统等。对于组策略的管理，实际针对的是本地组策略和活动目录上的组策略两种。对于前者来说，可以直接运行“gpedit.msc”程序，对组策略进行管理。

如果针对本机上不同的用户进行管理，可以运行“mmc”程序，在控制台上依次点击菜单“文件”、“添加/删除管理单元”项，选择“组策略对象编辑器”项，点击“添加”按钮，在弹出窗口中点击“浏览”按钮，在浏览组策略对象面板中选择目标账户，将其添加到控制台中。这样，可以针对不同的账户分别配置其组策略参数。对于后者来说，当在DC控制器上启动组策略管理器后，在其左侧选择“林”→“域”→“域名”→“组策略对象”项，在其右键菜单上点击“新建”项，输入名称后，创建新的组策略对象。

之后在其右键菜单上点击“编辑”项，对其内容进行合理的配置。编辑完毕后，可以将其链接到不同的容器中。例如在域名节点上点击“链接现有GPO”项，选择上述组策略对象，就可以将其应用到域中的所有主机中。例如，在Windows Server 2012域控制器上打开服务器管理器窗口，点击菜单“工具”→“组策略管理”项，在其中打开“组策略管理”→“林”→“域”→“某个域名”→“组策略对象”项，在其下选择某个策略对象，在其右键菜单上点击“编辑”项，在编辑窗口左侧选择“策略名”→“计算机配置”→“策略”→“Windows设置”→“安全设置”项，在其下可以找到很多与安全性有关的项目。

例如选择账户策略，可以配置密码策略，账户锁定策略等。包括密码复杂性要求、密码长度值、使用期限、强制密码历史、账户锁定时间、锁定阀值等。在本地策略中包含审核策略，用户权限分配，安全选项等，在日志事件策略中可以设置很多与日志有关的安全项目，包括安全日志保留天数、安全日志最大值、系统日志保留的天数与方法、防止本地来宾组访问安全日志和应用程序日志、限制来宾组访问系统日志等，对受限制的组、系统服务、注册表和文件系统、高级安全Windows防火墙、软件限制策略、网络访问保护、应用程序控制等策略进行管理。

此外，在组策略中使用IPSec策略，可以有效保证通讯双方的数据安全。对于一些可能影响系统运行的程序，可以利用软件限制策略对其进行控制，利用文件限制策略以及应用程序控制策略来限制对目标文件的访问，利用高级审核策略可以对文件的访问情况进行有效控制，使用注册表控制策略可以对注册表访问进行管控等。这些操作实现起来都比较简单，这里就不再赘述了。

使用安全模板，快速调整安全配置

实际上，对于企业管理员来说，应该根据实际需要，来手工创建所需的安全模板。而且应该基于不同的服务器角色，来创建满足该角色安全需要的模板。

例如对于Web服务器、DNS服务器来说，需要为其分别创建安全策略模板，来保证不同角色的安全。所谓模板，指的是基本的通用的，使用者必须遵守的安全规则内容，当将模板创建好并应用到目标服务器上之后，可以根据需要对其进行适当修改，来快速的实现安全部署，而无需从头费时费力的开始为每台主机配置安全策略。

可以使用多种方法，来创建安全模板。例如运行“mmc”命令，在控制台窗口中依次点击菜单“文件”、“添加/删除管理单元”项，在弹出窗口左侧的“可用的管理单元”列表中选择“安全模板”项，点击“添加”按钮，在控制台左侧选择“安全模板”、“C:UsersAdministratorDocumentsSecurityTemplates”项，在其右键菜单上点击“新加模板”项，输入模板名（例如“Web Server Templates”）和描述信息，表示专门针对Web服务器之用。点击“添加”按钮，完成该模板的创建。之后打开该模板项，可以发现其中的所有策略项目全部处于未定义状态。

您可以根据具体的需要，来灵活的设置所需的安全项目。例如对于Web服务器来说，可以依次选择“本地策略”、“安全选项”项，在右侧选择“交互式登录：提示用户在过期之前更改密码”项，在弹出窗口中选择“在模板中定义此策略设置”项，在其下设置具体的天数。这样，可以在规定时间内提醒使用者更改密码。

双击“交互式登录：不显示最后的用户名”项，在弹出窗口中选择“在模板中定义此策略设置”和“已启用”项，可以禁止显示上次登录使用者的账户名信息。以及是否从网络上匿名访问本机的共享数据，超过登录时间后强制注销，关机时清除内存页面文件等大量的项目。

通过合理的设置，可以有效提升系统安全性。当设置完毕后，在模板名称（例如“Web Server Templates”）的 右 键 菜 单上点击“保存”项，存储修改的信息。有了安全模板后，就可以灵活的执加以应用了。例如在Windows Server 2012域控制器上打开服务器管理器窗口，点击菜单“工具”、“组策略管理”项，在其中打开“组策略管理”→“林”→“域”→“某个域名”→“组策略对象”项，在其下选择某个策略对象，在其右键菜单上点击“编辑”项，在编辑窗口左侧选择“策略名”→“计算机配置”→“策略”→“Windows设置”→“安全设置”项，在其右键菜单上点击“导入策略”项，选择上述模板文件，就可直接导入进来，实现了快速的安全部署。可以看到，依靠安全模板可以极大地简化安全设置，使用起来很方便。当需要统一调整安全策略时，只需要对模板进行调整即可。

利用安全配置向导，快速部署安全策略

此外，利用系统提供的安全配置向导，可以帮助您创建一个安全策略，您可以将其应用到网络上的任何服务器。该安全策略基于服务器的配置服务和网络安全，并配置审核和注册表设置。

例如，可以在先本机上配置好相关的安全策略，在服务器管理器中点击菜单“工具”、“安全配置向导”项，在向导界面中点击“下一步”按钮，选择“新建安全策略”项，在“下一步”窗口中点击“浏览”按钮，选择一个服务器作为此安全策略的基准，即可以将此策略应用到选定的服务器，也可以将其应用到任何配置与其相似的服务器上。这里选择“本机”，点击“下一步”按钮，该程序可以对本机进行检测，来了解和本机相关的配置信息。点击“查看配置数据库”按钮，在SCW查看器窗口中可以从服务器角色、客户端功能、管理和其他选项、服务、Windows防火墙等方面，来详细的了解本机的全部配置信息。

点击“下一步”按钮，可基于角色对服务进行配置。在选择服务器角色窗口中显示本机安装的所有角色，对于在目标服务器上没有的角色（例如故障转移群集、打印服务器、卷影副本等），可以取消其选择状态，在下一步的选择客户端功能项列表中显示本机安装的功能组件，可以根据需要进行取舍。之后依次点击“下一步”按钮，执行选择所需的管理和其他选项，选择所需的系统服务，对于没有找到的服务，采取禁用或者不更改的操作，确认服务更改等操作。

在网络安全规则窗口中显示本机所有的防火墙规则，您可以根据需要进行取舍。对于没有选用的防火墙规则，当本安全配置策略应用到目标服务器后，是处于禁用状态的。点击“下一步”按钮，在出站身份验证方法窗口中选择服务器用来对远程计算机进行验证的方法，包括域账户、远程计算机上的本地账户、文件共享密码等。在“下一步”窗口中选择出站身份验证方式，在系统审核策略窗口中选择审核的目标，包括不审核、审核成功的操作、审核成功和不成功的操作等。在安全策略文件名窗口中点击“浏览”按钮，选择安全策略文件保存路径，点击“包括安全模板”按钮，可以添加所需的安全模板文件。选择“稍后应用”项，点击“完成”按钮，关闭安全配置向导界面。

这样，就可以将本机的安全配置信息提取出来，之后就可将其应用到其他服务器上。方法是将上述安全策略文件复制到其他服务器上，在该机上的服务器管理器中点击菜单“工具”、“安全配置向导”项，在向导界面中点击“下一步”按钮，在配置操作窗口中选择“应用现有的安全策略”项，点击“浏览”按钮，选择上述安全策略文件，点击“下一步”按钮，就可应用到当前的服务器上。如果应用后发现了问题影响到本服务器的运行，可以选择“回滚上一次应用的安全策略”项，取消上一次的应用操作，恢复到原始的运行状态。

对用户访问权限进行管控

对于用户权限来说，包括特权和登录权限等方面。例如，在组策略管理器中选择“本地策略”下的“安全选项”和“用户权限”项，在右侧可以针对是否允许用户本地登录、允许关机的用户、允许哪些用户将工作站加入到域、拒绝哪些用户本地登录、在登录后强制注销等等。为了防止不法用户攻击Administrator管理员账户，可以双击“账户:重名命系统管理员账户”项，选择“在模板中定义此策略设置”项，输入新的管理员账户名。这样，就可以更改管理员账户的名称。

对于某些用户来说，在分配权限时，应该采用最小化权限原则，即尽可能为其分配刚好满足其需要的权限，而不要为其分配更多的权限。对于不同的服务，最好为其单独指派管理员。对于管理员组来说，应该尽量限制其成员的数量。使用组策略，可以有效对某些特殊组进行管控。

例如，在组策略管理器中选择的“安全设置”、“受限制的组”项，在其右侧窗口的右键菜单中点击“添加组”项，在弹出窗口中点击“浏览”按钮，在选择组窗口中找到某个组（例 如“Domain Admins”），点击“确定”按钮，在其属性窗口中的“这个组的成员”栏中点击“添加”按钮，选择所需的账户。在“这个组隶属于”栏中点击“添加”按钮，可以选择所需的组名。这样，该账户组就处于限制状态，别人就无法随意向其中添加账户了。

对于账户的设置，必须保证其安全性。对于账户密码来说，应该保证其复杂度和合适的期限。利用在密码策略中，双击“密码必须符合复杂性要求”项，使其处于激活状态，这样密码必须由大小写字符，特殊符合和数字组成。设置密码长度最小值、密码最短使用期限、密码最长使用期限等。在“轻质密码历史”项中设置合适的数值，这样就不能使用指定数量的历史密码。例如将其设置为3个记住的密码，表示不能使用前三次使用过的密码。配合账户锁定策略，可以有效防止暴力破解行为。